BS 25999 มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ ตอนที่ 3

การวางแผนระบบบริหารความต่อเนื่องทางธุรกิจ

ในการวางแผนระบบบริหารความต่อเนื่องธุรกิจ จะประกอบด้วย 3 ส่วนหลักๆ ได้แก่ กระบวนการจัดทำและดูแลระบบ กระบวนการสร้างการบริหารความต่อเนื่องธุรกิจให้เป็นวัฒนธรรมขององค์กร และกระบวนการในส่วนของการควบคุมเอกสาร และบันทึก

1. การจัดทำ และดูแลระบบบริหารความต่อเนื่องธุรกิจ

องค์กรจะต้องจัดทำข้อกำหนดสำหรับความต่อเนื่องทางธุรกิจ วัตถุประสงค์ และแผนงานความต่อเนื่องทางธุรกิจ และขอบเขตของความต่อเนื่องทางธุรกิจ ทั้งในรูปของผลิตภัณฑ์ และบริการ

นโยบาย BCM

ผู้บริหารระดับสูงขององค์กรจะต้องมีการกำหนด และดูแลให้มีการดำเนินการตามนโยบายการบริหารงานความต่อเนื่องทางธุรกิจ (Business continuity policy) โดยนโยบายจะต้องครอบคลุมถึง วัตถุประสงค์ของความต่อเนื่องทางธุรกิจภายในองค์กร และขอบเขตของความต่อเนื่องทางธุรกิจ

ทั้งนี้ นโยบายจะต้องได้รับการอนุมัติโดยผู้บริหารระดับสูง รวมถึงได้รับการสื่อสารไปยังทุกคนในองค์กรให้เข้าใจถึงความหมาย และการมีส่วนร่วมในนโยบายที่กำหนดขึ้น นอกจากนั้น นโยบายการบริหารความต่อเนื่องธุรกิจ จะต้องได้รับการทบทวนถึงความเหมาะสมอย่างสม่ำเสมอ รวมถึงเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้นกับองค์กร  

การจัดสรรทรัพยากร

องค์กรจะต้องกำหนด และจัดให้มีทรัพยากรที่จำเป็น สำหรับการจัดทำ นำไปปฏิบัติ ดำเนินการ และดูแลรักษาระบบบริหารความต่อเนื่องธุรกิจ รวมถึงจะต้องมีการกำหนดบทบาท หน้าที่ความรับผิดชอบ ความสามารถ และอำนาจหน้าที่ของบุคลากรต่างๆ ไว้อย่างชัดเจนด้วย

นอกจากนั้น ผู้บริหารระดับสูง จะต้อง

·        กำหนดผู้แทนฝ่ายบริหารที่มีความอาวุโส และอำนาจหน้าที่ที่เหมาะสม ดูแลรับผิดชอบในนโยบายการบริหารความต่อเนื่องธุรกิจ และการนำไปปฏิบัติ

·        กำหนดบุคลากร ซึ่งมีความรับผิดชอบในการดำเนินการ และการดูแลรักษาระบบ โดยไม่ถูกจำกัดด้วยหน้าที่ความรับผิดชอบอื่นๆ

·        กำหนดระดับของความเสี่ยงที่ยอมรับได้ ซึ่งเกี่ยวข้องกับขอบเขตของความต่อเนื่องทางธุรกิจ รวมถึงมีการจัดทำไว้เป็นเอกสารอย่างชัดเจน

·        ดำเนินการทบทวนระบบอย่างต่อเนื่อง

·        สื่อสารไปยังผู้มีส่วนได้เสียกับองค์กร

·        สื่อสารภายในองค์กร ถึงความสำคัญของการตอบสนองต่อวัตถุประสงค์ของการบริหารความต่อเนื่องทางธุรกิจ ความสอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ และการปรับปรุงระบบอย่างต่อเนื่อง

การฝึกอบรม การรับรู้ และความสามารถ

ในข้อกำหนดยังระบุให้องค์กรจะต้องดูแล ให้บุคลากรที่ได้รับการมอบหมายหน้าที่ความรับผิดชอบ ตามที่กำหนด มีความสามารถในการดำเนินการตามภารกิจที่ได้กำหนดไว้ โดยการ

·        กำหนดถึงความสามารถที่จำเป็นสำหรับแต่ละบุคคล ในการปฏิบัติงานที่มีผลกระทบต่อระบบบริหารความต่อเนื่องธุรกิจ  

·        ดำเนินการวิเคราะห์ความจำเป็นในการฝึกอบรมสำหรับพนักงานที่ได้รับมอบหมาย

·        จัดให้มีการฝึกอบรม

·        ประเมินถึงความมีประสิทธิผลของการฝึกอบรมที่จัดขึ้น และ

·        ดูแลรักษาบันทึกของการศึกษา การฝึกอบรม ทักษะ ประสบการณ์ และคุณสมบัติที่เหมาะสม

2. การสร้างระบบบริหารความต่อเนื่องธุรกิจให้เป็นวัฒนธรรมขององค์กร

องค์กรจะต้องพัฒนาระบบบริหารความต่อเนื่องธุรกิจ ให้เป็นส่วนหนึ่งของคุณค่าหลักขององค์กร และสามารถดำเนินการบริหารได้อย่างมีประสิทธิผล โดยต้อง

·        ดูแลให้มั่นใจได้ว่าบุคลากรที่เกี่ยวข้องทั้งหมด รับรู้ถึงความเกี่ยวข้อง และความสำคัญของกิจกรรมในการดำเนินการรักษาความต่อเนื่องทางธุรกิจ และแนวทางในการมีส่วนร่วมต่อความสำเร็จของวัตถุประสงค์การบริหาร

·        การสร้าง ปรับปรุง และดูแลรักษา แนวทางในการศึกษา และโปรแกรมสารสนเทศสำหรับการบริหารความต่อเนื่องธุรกิจสำหรับพนักงานทั้งหมด รวมถึงทำการประเมินความมีประสิทธิผลของการสร้างการรับรู้ที่เกิดขึ้นด้วย

·        จัดให้มีการฝึกอบรมทางด้านการบริหารความต่อเนื่องธูรกิจให้กับพนักงาน ทั้งที่เกี่ยวข้องกับและไม่เกี่ยวข้องกับการบริหารความต่อเนื่องธุรกิจ  สำหรับทักษะที่จำเป็นในการดำเนินการตอบสนอง และการฟื้นฟูธุรกิจ รวมถึงจะต้องมีการประเมินความมีประสิทธิผลของการจัดฝึกอบรมด้วย  

3. ระบบเอกสาร และบันทึกของ BCMS

เอกสารที่จำเป็นสำหรับการบริหารความต่อเนื่องธุรกิจ จะต้องได้รับการปกป้องดูแลและควบคุม โดยจะต้องมีการจัดทำเอกสารวิธีการปฏิบัติงานสำหรับการควบคุมเอกสาร เพื่อให้มั่นใจได้ถึงการอนุมัติ การดูแลรักษาความลับ ความสมบูรณ์ ความพร้อมใช้ และการหมุนเวียนของเอกสารทั้งหมด

ระบบเอกสารสำหรับการบริหารความต่อเนื่องธุรกิจ จะประกอบด้วย

·        นโยบายความต่อเนื่องทางธุรกิจ

·        ขอบเขตของระบบบริหารความต่อเนื่องธุรกิจ วิธีปฏิบัติงานและการควบคุม

·        รายงานการวิเคราะห์ผลกระทบทางธุรกิจ

·        รายงานการประเมินความเสี่ยง

·        รายละเอียดของกลยุทธ์การบริหารความต่อเนื่อง  

·        วิธีการปฏิบัติงาน เพื่อสร้างความมั่นใจในความมีประสิทธิผลของการวางแผน การปฏิบัติงาน และการควบคุมของกระบวนการบริหารความต่อเนื่องธุรกิจขององค์กร

·        แผนการบริหารเหตุการณ์ (Incident) และความต่อเนื่องทางธุรกิจ

·        สัญญา และรายละเอียด สำหรับหน่วยงานต่างๆ ที่เกี่ยวข้อง รวมถึงทรัพยากรที่จำเป็นในการสนับสนุนต่อกลยุทธ์ของการตอบสนอง

·        วิธีปฏิบัติงานในการควบคุมการเปลี่ยนแปลง

·        ทะเบียนความเสี่ยง

·        ตารางเวลาในการทดสอบ และการขึ้นทะเบียนผลการทดสอบ

·        บันทึกเหตุการณ์ (Incident) ต่างๆ ที่เกิดขึ้น

·        โปรแกรมการฝึกอบรม

·        โครงสร้างการตอบสนอง

·        เอกสารอื่นๆ ที่จัดทำขึ้นเพื่อสนับสนุนต่อการดำเนินการตามมาตรฐาน

นอกจากนั้น บันทึกต่างๆ ที่เกิดขึ้น จะต้องได้รับการจัดทำ ดูแลรักษา และควบคุม เพื่อแสดงถึงหลักฐานของการดำเนินการระบบบริหารความต่อเนื่องธุรกิจอย่างมีประสิทธิผล  รวมถึงจะต้องมีการกำหนดแนวทางในการควบคุมที่จำเป็นสำหรับการชี้บ่ง การจัดเก็บ การดูแลรักษา การนำมาใช้งาน ระยะเวลาในการจัดเก็บ และการทำลายบันทึก โดยแนวทางในการควบคุมนี้ จะต้องมีการจัดทำเป็นเอกสารวิธีการปฏิบัติงานไว้อย่างชัดเจนด้วย